ll CIO promuove la sicurezza a tutti i livelli dell’organizzazione attraverso l’orchestrazione di tecnologie, formazione, collaborazione interfunzionale e valutazione continua del rischio cyber
Il ruolo del chief information officer nella mitigazione del rischio informatico si è evoluto in modo significativo nel corso degli anni. Nel 2024, il CIO può effettivamente svolgere un ruolo cruciale nella salvaguardia di un’azienda dalle minacce informatiche. Il CIO moderno non è più il guardiano tecnico, ma si è trasformato in un visionario chiave per la cybersecurity strategica e la crescita aziendale. Il suo ruolo va oltre l’implementazione della tecnologia e si estende alla definizione della posizione di rischio complessiva dell’organizzazione. Vediamo in maggiore dettaglio i punti di forza che iscrivono il CIO nel club dei campioni della cyber risk mitigation.
Comprensione massima del panorama IT – I CIO supervisionano l’infrastruttura tecnologica dell’organizzazione. Questo dà loro una prospettiva unica sulle vulnerabilità e sui potenziali punti di ingresso per i cyberattacchi.
Allineamento con gli obiettivi aziendali – La sicurezza informatica non riguarda solo la tecnologia, ma sempre più la protezione della continuità aziendale e della reputazione. I CIO comprendono questa connessione e possono tradurre gli sforzi di cybersecurity in valore aziendale per gli stakeholder.
Valutazione dei rischi e definizione delle priorità – Il CIO può avviare una valutazione completa dei rischi per identificare gli asset critici, le minacce potenziali e il loro impatto sull’azienda. Questo aiuta a stabilire le priorità degli sforzi di mitigazione.
Cultura della sicurezza e formazione – Il CIO ha la leadership necessaria a guidare i programmi di formazione dei dipendenti per aumentare la consapevolezza delle minacce informatiche e delle best practice. Una forza lavoro consapevole della sicurezza è la prima linea di difesa.
Implementazione della tecnologia – Il CIO può promuovere l’adozione di strumenti di sicurezza “next gen” e soluzioni di crittografia dei dati. Questi strumenti possono automatizzare il rilevamento e la risposta alle minacce e costituire misure “state-of-the-art” sempre più richieste espressamente dalle direttive di compliance (si pensi, per esempio, all’attuazione della direttiva europea NIS2).
Collaborazione e comunicazione – Il CIO può promuovere la collaborazione tra i team IT e di sicurezza. Può anche comunicare efficacemente alla leadership i rischi informatici e le strategie di mitigazione.
Miglioramento continuo – Il panorama delle minacce informatiche è in continua evoluzione. Il CIO può favorire il monitoraggio continuo, la valutazione delle vulnerabilità e l’adattamento dei protocolli di sicurezza.
L’investitura del CIO – Il raggiungimento degli obiettivi di mitigazione rischio cyber è trasversale in tutti i settori industriali e interessa tutte le dimensioni aziendali. Secondo Paul Furtado, VP e analista di Gartner, entro il 2025 il 50% delle organizzazioni, comprese quelle di medie e piccole dimensioni, adotterà programmi formali per gestire il rischio insider. Questa proiezione mette in evidenza l’importanza crescente della prevenzione delle minacce provenienti da dipendenti, appaltatori e partner terzi integrati. Gli analisti consigliano ai CIO di dare priorità alla mitigazione del rischio cyber adottando la “regola del tre” come guida: 1) promuovere una cultura aziendale che metta la sicurezza informatica al centro delle operazioni quotidiane; 2) implementare tecnologie avanzate e pratiche di governance per monitorare e mitigare le minacce cyber; identificare e monitorare attivamente gli asset e gli account con un elevato potenziale di rischio. In Italia, i CIO consultati da Data Manager confermano l’importanza di questo approccio che si riflette nell’aumento significativo degli investimenti dedicati alla sicurezza dei dati e alla protezione delle risorse aziendali, fotografato dal Rapporto CLUSIT nell’ultimo anno.
